El informe muestra que el número de organizaciones que pagaron rescates se redujo un 22% interanual, señal de una mayor madurez y de un cambio en la estrategia frente a los atacantes. Sin embargo, esto no significa que haya menos amenazas: los cibercriminales están evolucionando hacia nuevos métodos, como el robo y la extorsión de datos sin necesidad de cifrado.
“Estamos viendo una clara disminución de los pagos, pero no de los ataques”, advierte Tim Pfaelzer, vicepresidente sénior y director general de Veeam para EMEA. “Algunos delincuentes ya no buscan solo beneficios económicos, sino causar interrupciones graves. Aunque las organizaciones mejoran su capacidad de recuperación, siguen existiendo grandes brechas que las dejan vulnerables”.
El estudio también refleja un aumento significativo de la capacidad de recuperación sin pagar rescates. En 2023, solo el 14% de las empresas logró restaurar sus datos sin hacerlo, mientras que en 2024 esa cifra se duplicó hasta el 30%. A la vez, la eficacia de pagar rescates ha caído en picado: en 2023, el 54% de quienes pagaron recuperó sus datos; en 2024, apenas el 32%.
Pese a estos avances, la falta de planificación sigue siendo el talón de Aquiles. Solo el 37% de las organizaciones cuenta con infraestructuras alternativas, lo que deja al 63% sin una red de respaldo para mantener sus operaciones tras un ataque. Esta carencia puede implicar semanas de inactividad total y pérdidas de hasta un millón de euros por hora, según el tamaño de la empresa.
“Las compañías han comprendido que la recuperación debe estar en el centro de su estrategia de resiliencia”, subraya Pfaelzer. “Pero aún queda mucho camino. Deben invertir en copias de seguridad seguras e infraestructuras paralelas que eliminen por completo la necesidad de pagar rescates”.
Aunque las regulaciones europeas como NIS2 o DORA están elevando los estándares de ciberresiliencia, Veeam recuerda que la preparación técnica y operativa sigue siendo insuficiente. La compañía concluye que solo mediante planes de continuidad robustos y una cultura preventiva las organizaciones podrán afrontar los ciberataques del futuro sin depender del azar o de los atacantes.